Si mysleli jste si, že linuxové distribuce jsou venku, to znamená, že virus v Linuxu je mýtus, řeknu ti, že se úplně mýlíš. umětRealita je taková, že existuje malware zaměřený na platformy Linux a ve skutečnosti je to zanedbatelné ve srovnání s velkým počtem virů, které se hojně vyskytují na platformách Windows.
Tento rozdíl lze vysvětlit zejména zvláštnostmi jeho architektury a její příslušné popularity. Velké množství škodlivého softwaru zaměřeného na ekosystém Linux je navíc primárně zaměřeno na kryptojacking a vytváření botnetů k provádění DDoS útoků.
EvilGnome malware pro Linux
Bezpečnostní vědci nedávno objevili nový spyware cílení na Linux. Zdá se, že malware je stále ve fázi vývoje a testování, ale již obsahovalo několik škodlivých modulů, které měly špehovat uživatele.
Výzkumný tým společnosti Intezer Labs, společnosti zabývající se kybernetickou bezpečností, odhalil virus s názvem EvilGnome, který má neobvyklé vlastnosti ve srovnání s většinou linuxového malwaru, který byl vynalezen a dosud nebyl detekován předním antivirem na trhu.
Tento nový malware objevil „EvilGnome“ Byl navržen tak, aby pořídil snímky obrazovky počítače, ukradl soubory, zachytil zvukové záznamy z mikrofonu, ale také ke stažení a spuštění dalších škodlivých modulů, a to vše bez vědomí uživatele.
Verze EvilGnome objevená společností Intezer Labs na VirusTotal také obsahovala funkci keyloggeru, což naznačuje, že ji její vývojář pravděpodobně omylem umístil online.
Podle vyšetřovatelů, EvilGnome je skutečný spyware, který se vydává za další rozšíření fungující pod Gnome.
Tento spyware se dodává jako samorozbalovací skript vytvořený pomocí „makeself“, malého skriptu prostředí, který generuje samorozbalovací komprimovaný soubor tar z adresáře.
Trvá v cílovém systému pomocí nástroje crontab, nástroje podobného Plánovači úloh systému Windows, a odesílá ukradená uživatelská data na vzdálený server ovládaný útočníkem.
"Perzistence se dosahuje registrací souboru gnome-shell-ext.sh ke spuštění každou minutu v crontabu." Nakonec skript spustí soubor gnome-shell-ext.sh, který následně spustí hlavní spustitelný soubor gnome-shell-ext, “uvedli vědci.
O složení EvilGnome
EvilGnome integruje pět škodlivých modulů s názvem „Střílečky“:
- StřelecZvuk který používá PulseAudio k zachycení zvuku z mikrofonu uživatele a stahování dat na příkazový a řídicí server operátora.
- StřelecObrázek který modul používá otevřená zdrojová knihovna v Káhiře k pořizování snímků obrazovky a jejich nahrávání na server C&C otevřením připojení k zobrazovacímu serveru XOrg.
- Soubor střelce, který používá seznam filtrů ke skenování systému souborů pro nově vytvořené soubory a jejich nahrávání na server C&C.
- ShooterPing který přijímá nové příkazy ze serveru C&C, včetně pohotovostních režimů všech střelců.
- Klíč střelce který ještě není implementován a použit, pravděpodobně nedokončený modul keyloggeru.
Tyto různé moduly šifrují odeslaná data a dešifrují příkazy přijaté ze serveru C&C pomocí klíče RC5 „sdg62_AS.sa $ die3“ pomocí upravené verze ruské otevřené knihovny.
Vědci také našli vazby mezi EvilGnome a Gamaredon., údajná ruská skupina, která působí nejméně od roku 2013 a zaměřuje se na lidi, kteří pracují s ukrajinskou vládou.
Provozovatelé EvilGnome používá poskytovatele hostingu, který skupina Gamaredon používá již létaa skupina je nadále používá.
"Myslíme si, že je to předčasná zkušební verze." Předpokládáme, že v budoucnu budou objeveny a přezkoumány nové verze, což by mohlo vést k lepšímu pochopení aktivit skupiny, “uzavírají vědci.
Nakonec se uživatelům Linuxu, kteří chtějí zkontrolovat, zda nejsou infikováni, doporučuje zkontrolovat adresář
~ / .cache / gnome-software / gnome-shell-extensions
Pro spustitelný soubor "Gnome-shell-ext"
zdroj: https://www.intezer.com/
A toho je dosaženo, rozbalením taru, jeho instalací a udělením oprávnění root.
Jsme to, co obvykle dělá každý mírně informovaný uživatel systému Linux, že?
Jelikož je skrytý jako přípona pro GNOME, je nepravděpodobné, že by jej stáhli uživatelé jiných desktopů, například KDE